最近正在看一本名为《Web入侵安全测试与对策》的书。
其中介绍了一种工具叫做 paros proxy,这是一个对Web应用程序的漏洞进行评估的代理程序,即一个基于Java的web代理程序,可以评估Web应用程序的漏洞。它支持动态地编辑/查看
HTTP/HTTPS,从而改变cookies和表单字段等项目。它包括一个Web通信记录程序,Web圈套程序(spider),hash
计算器,还有一个可以测试常见的Web应用程序攻击(如SQL注入式攻击和跨站脚本攻击)的扫描器。
今天拿这个工具测试了一下一个网站 http://montreal.kijiji.ca, spider运行时间非常长。并且似乎paros的窗口必须开着才能进行crawl,最小化就自动停止了。
1. 打开Paros
2. 打开IE,设置代理为 localhost:8080
3. 打开所有测试的网站 http://montreal.kijiji.ca 并且登陆。
4. 执行以上三步后,系统会自动抓取被测试站点位于URL层次树中第一层的URL(比如一个网站,其首页的URL一般为层次树第一层),并将这些URL显示在左
侧的“site”栏中,然后在site栏中选中某一个URL,右击鼠标选取spider命令或单击analyse菜单-spider命令,系统将抓取该
URL层次树中下一层次的URL。
5. 在主窗口中,Request是浏览器给服务器发送的原始数据,Response是服务器响应的信息。
以下URL不能被抓取:
- 具有非法验证的SSL站点的URL是不能被抓取的。
- 不支持多线程(也就是说:)
- 在HTML页中的某些URLS也是不能被识别的。
- 由javascrīpt生成的URLS也是不能被识别的。
虽然上述这些urls不能被自动抓取,所以我们可以将其手动增加到左侧的“site”栏中,具体的操作方法是:
- 首先我们要对被测试站点URL的层次树有很好的了解,这样我们才能知道哪个URL抓取了,哪还没有被抓取。
- 对于未被抓取的URLS,通过打开paros-工具-manual request
editor,输入未被抓取的URLS,然后单击SEND按钮,完成手动加入URLS动作,添加成功后的URLS将显示在左侧的“site”栏中。(注:
此处存在一个问题,当我输入一个URL后单击发送按钮后,系统总是报错“IO erros is sending
request”,查看了一下RESPONSE,结果是我发送的URLS WEB
服务器不能识别,不知道是否对输入的URLS有什么特殊的要求,待定。)
6. SCANNER:针对“site”栏中的URLS进行扫描,逐一检查对URLS分别进行安全性检查,验证是否存在安全漏洞。
- 如果想扫描"site"栏中所有的URLS,单击anaylse-scan all可以启动全部扫描。
- 如果只想扫描“site”栏中某一URL,选中该URL,右击鼠标,选取scan命令。
- SCANNER可以对以下几种情况进行检查:
- SQL注入
- 跨站点脚本攻击
- 目录遍历
-
CRLF
-- Carriage-Return Line-Feed 回车换行
等。
注:我们可以通过anylse-scan policy进行安全检查的设置。
7. 查看和验证扫描结果:
- 扫描完成后,单击Report-Last Scan report,可查看当前的扫描报告。
- 根据扫描报告,对扫描结果进行验证,比如扫描结果中有一是URL传递的参数中存在SQL注入漏洞,我们将该URL及参数输入到地址栏中,验证结果。
8. 保存抓取、扫描内容。
- 保存时应注意:保存的路径不支持特殊字符,比如汉字等,否则会打不开保存后的文件。
分享到:
相关推荐
Paros proxy是一个对Web 应用程序的web漏洞评估的代理程序,即一个基于Java 的web 代理程序,可以评估Web 应用程序的漏洞。它支持动态地编辑/查看HTTP/HTTPS,从而改变cookies和表单字段等项目。它包括一个Web 通信...
总的来说,Paros Proxy是Web应用安全领域的一个强大工具,通过其代理功能和丰富的分析工具,它可以帮助用户深入理解应用程序的安全状况,及时发现并修复潜在的漏洞,从而提升整体的安全性。对于任何涉及Web应用开发...
安全测试工具 一个对Web应用程序的漏洞进行评估的代理程序 即一个基于Java的web代理程序 可以评估Web应用程序的漏洞 它支持动态地编辑 查看HTTP HTTPS 从而改变cookies和表单字段等项目 它包括一个Web通信记录程序 ...
"Paros proxy"标签进一步强调了Paros作为代理服务器的角色,它作为一个中间人,可以捕获、修改和重放HTTP/HTTPS请求,以进行安全测试和分析。 **文件名解析:** "paros-3.2.13-win.exe"是Paros的安装程序文件,适用...
接着,打开Paros主界面,可以看到"Proxy"选项卡,这里会显示所有通过Paros转发的网络请求。"History"选项卡记录了请求的历史,便于后期分析。"Active Sites"则按域名分组显示所有活动站点,方便跟踪特定网站的交互。...
ParosProxy不仅具备HTTP/HTTPS流量的动态编辑与查看功能,还集成了Web通信记录、网页爬虫(Spider)、Hash计算及常见Web攻击(如SQL注入、XSS攻击)的扫描模块。 #### 安装与配置详解 ##### 安装步骤 Paros的运行...
3. 手动测试:对于自动扫描未覆盖到的部分,可以手动构造请求进行测试,例如通过“Paros Proxy”面板进行。 四、Paros的高级用法 1. 自定义扫描规则:你可以创建或导入自定义的扫描规则,以适应特定的应用场景。 2....
**标题解析:** "抓包paros-1工具" 指的是Paros Proxy,它是一个基于Java的网络代理服务器,主要用于网络安全测试和Web应用程序的调试。Paros提供了抓包和分析HTTP/HTTPS流量的功能,是开发人员和安全专家常用的工具...
3. **浏览器代理设置**:为了使Paros Proxy能够截获浏览器的数据包,需要将浏览器的代理设置为指向Paros Proxy。例如,在IE中设置为HTTP代理端口8080,在Firefox中也应进行相同的设置。 #### 四、十大安全威胁及...
Paros Proxy是一个Java编写的Web应用程序代理,它提供了一种强大的工具用于测试Web应用程序的安全性。通过代理HTTP/HTTPS流量,Paros Proxy可以拦截、查看和修改cookies以及其他HTTP数据包。此外,它还支持使用Web...
2. Paros proxy:Paros proxy是一个对Web应用程序的漏洞进行评估的代理程序,即一个基于Java的Web代理程序,可以评估Web应用程序的漏洞。它支持动态地编辑/查看HTTP/HTTPS,从而改变cookies和表单字段等项目。 知识...
Paros proxy 是一个对 Web 应用程序的漏洞进行评估的代理程序,可以评估 Web 应用程序的漏洞。它支持动态地编辑/查看 HTTP/HTTPS,改变 cookies 和表单字段等项目。它包括一个 Web 通信记录程序,Web 圈套程序...
- **简介**:Paros Proxy 是一个基于 Java 的 Web 应用程序漏洞评估工具,它可以通过代理方式对 Web 应用程序进行深入的安全测试。 - **特点**: - 支持 HTTP 和 HTTPS 协议。 - 可以动态编辑/查看 HTTP/HTTPS ...
当前,尽管市场上已存在一些XSS漏洞检测工具,如Paros Proxy和XSS-Me,但在漏洞扫描的完整性和准确性方面仍存在不足。为了解决这些问题,陈建青和张玉清在《Web跨站脚本漏洞检测工具的设计与实现》一文中,提出了一...
PAROS(Proxy for Analyzing Request and Responses Security)是一款开源的HTTP/HTTPS代理服务器,主要用于Web应用的安全测试。它能够帮助安全专业人士和开发人员检测潜在的漏洞,如SQL注入、跨站脚本攻击(XSS)、...
在使用过程中,用户应熟悉Paros的各个功能面板,如"History"(历史记录)、"Scanner"(扫描器)、"Proxy"(代理设置)等,以便有效地进行安全测试。 **安全测试流程:** 1. **配置代理**:首先,设置浏览器的HTTP...
Proxy-Connection: keep-alive Content-Type: application/x-www-form-urlencoded Content-Length: 81 Accept-Language: zh-cn Accept: */* Connection: keep-alive User-Agent: mppp/1.3.6 CFNetwork/609 Darwin/...
9. **EnDeZAP Proxy**:一个强大的解码和编码工具,类似于Paros代理,但已被更现代的替代品所取代,如Burp Suite。 这些工具覆盖了多种网络应用安全测试的方面,包括但不限于漏洞扫描、模糊测试、动态分析等,可以...